본문 바로가기
악성코드 정보

입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe)

by 분석팀 2019. 11. 12.

2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다.

해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일("최혜은.7z") 내부에는 한글문서파일(.hwp)로 보이지만 실제로는 한글문서 아이콘을 갖는 실행파일(*.EXE)이 존재한다. 유포자는 .hwp 확장자와 .exe 확장자 사이에 무수히 많은 공백을 추가하여 사용자로 하여금 클릭을 유도하는 구조이다.

이력서 가장하여 유포된 사례

이렇게 첨부 된 압축파일("최혜은.7z") 내부의 파일명을 유심히 살펴보면 충분히 의심스러운 파일임을 유추할 수 있다. 아래의 그림에서 상단의 화면은 압축해제 툴(7-Zip)을 통해 확인된 "최혜은.7z" 내부의 파일들이며, 그림에서 하단의 화면은 일반 윈도우 탐색기를 통해 사용자에게 보여지는 내부 파일들로 실행파일로 인지하기 어려운 형태임을 알 수 있다. 실행파일의 아이콘이 한글문서 형태로 제작되어 파일유형이 "응용 프로그램"으로 표시되나, 일반 사용자는 한글문서파일로 인식하여 실행하게되고 랜섬웨어에 감염된다.

첨부파일 내부의 exe 파일 (한글문서위장)

아래의 그림은 해당 랜섬웨어에 감염 후, 사용자에게 보여지는 랜섬노트로 NEMTY REVENGE 2.0 버전임을 알 수 있다.

NEMTY REVENGE 2.0 랜섬노트

Nemty 랜섬웨어는 2019년 9월 5일 이력서로 위장한 압축파일로 최초 발견되었다. 그 이후 9월 9일에는 Radio EK (CVE-2016-0189) 를 통해서도 유포됨이 확인되었고 현재까지 꾸준히 버전이 업데이트되어 활발하게 유포 중이다.

(1) 9월 5일 유포 파일명 (워드문서 위장한 실행파일)

  • %다운로드 폴더%\이력서\포트폴리오.doc.exe
  • %다운로드 폴더%\엄경란\이력서\포트폴리오.doc.exe
  • %다운로드 폴더%\엄경란\이력서\이력서.doc.exe
  • %다운로드 폴더%\박원규\이력서\이력서.doc.exe

(2) 11월 12일 유포 파일명 (한글문서 위장한 실행파일)

  • %다운로드 폴더%\이력서\이력서.hwp.exe
  • %다운로드 폴더%\고명진\이력서\이력서.hwp.exe
  • %다운로드 폴더%\김도영\이력서\포트폴리오.hwp.exe
  • %다운로드 폴더%\고명진\이력서\포트폴리오.hwp.exe

이력서와 Exploit kit을 통해 유포중이므로 의심스러운 사이트 접속은 하지 않고, 의심스러운 형태의 이력서 첨부파일을 열람 시 사용자의 주의가 필요하다.

 

 

댓글